awsサポートと各種運用支援ツールを利用したシステム運用・ … ·...

© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

アマゾンウェブサービスジャパン株式会社

技術支援本部エンタープライズサポート

伊藤裕史

2017年6月1日

AWSサポートと各種運用支援ツールを利用した

システム運用・管理やコストの最適化

自己紹介

名前: 伊藤裕史

所属：アマゾンウェブサービスジャパン株式会社

技術支援本部エンタープライズサポート

シニアテクニカルアカウントマネージャ

テクニカルアカウントマネージャ（TAM）としてエンタープライズサポートプランをご契約のお客様を担当し、AWSサポートが提供する各種ツールやサービスを通じて日々お客様のAWSご利用の最適化をサポートしています

AWSサポートのラインナップ

• 24/365（ビジネスプラン以上）の日本語サポート• AWSサービスのフルラインナップをサポート• 長期のコミットメントは不要• お問い合わせ回数は無制限

コンシェルジュ対応

認定エンジニア対応

TAM

本日のセッションで扱う3つのポイント

迅速な対応によるシステムの安定運用

ベストプラクティスを活用したシステム品質向上

コストの可視化とAWS利用の最適化

AWS Trusted AdvisorAWS AnswersAWSサポートナレッジセンター

Service Health DashboardPersonal Health DashboardAWS Health APIとGit repositoryAWSサポートの活用

予算管理機能各種レポートの活用CostExplorerリザーブドインスタンス一括請求の活用

システム安定運用のための二つの視点

システムメンテナンスの影響の最小化

障害発生時の迅速な対応

Personal Health Dashboardでメンテナンスを知る

• アカウント固有のリソースに対するメンテナンス情報や影響を受ける可能性のあるAWS

の大規模障害の情報を提供

• CloudWatch Eventsと連携してイベントに対するアクションを自動実行することも可能

AWS Health APIでプログラムからアクセスする

• Personal Health Dashboard に表示される通知を機械的に取得するためのAPI

~$ aws health describe-event-details --event-arns “arn:aws:health:us-east-2::event/AWS_EC2_OPERATIONAL_ISSUE_1493167712”<= イベント（≒通知）毎にARNが割り振られる

{"failedSet": [],"successfulSet": [ {

"event": {"lastUpdatedTime": 1493170667.273,"service": "EC2","eventTypeCode": "AWS_EC2_OPERATIONAL_ISSUE","startTime": 1493167712.0,"eventTypeCategory": "issue","endTime": 1493170596.0,"region": "us-east-2","arn": "arn:aws:health:us-east-2::event/AWS_EC2_OPERATIONAL_ISSUE_1493167712","statusCode": "closed"

},"eventDescription": {

“latestDescription”: “[RESOLVED] EBS Volume (省略）The issue has been resolved and the service is operating normally."}

} ]}

AWS Health APIの活用 - AWS Health Tools リポジトリ

• AWS Health(Personal Health

Dashboard)を活用して通知対応などを自動化するためのコミュニティベースのツールレポジトリ

• 利用可能なサンプル（2017/5）• SMS Notifier

• SNS Topic Publisher

• Slack Notifier

• Instance Store Degraded Drive

• Disable AWS CodePipeline Stage

Transition

レポジトリURLhttps://github.com/aws/aws-health-tools

例）slack Notifier https://github.com/aws/aws-health-tools/tree/master/slack-notifier

AWS Healthが生成するCloudWatch EventsのEventを利用してLambdaを実行し、SlackのWebHookに情報をパブリッシュ

サンプルのLambda FunctionやCloudFormation Templateを提供

メンテナンスイベントの取りこぼし防止に役立つ

AWSの各サービス

AWS Health CloudWatchEvents

LambdaFunction

https://github.com/aws/aws-health-tools/tree/master/slack-notifier

お客様が障害を検知した時の問題解決フロー

AWSの問題かもしれない

サポートセンター

アプリケーションやOSレイヤーの問題

の調査

サポートセンターから問い合わせ※

・ AWSインフラの障害調査・問題切り分け調査のご支援・ベストプラクティスに基づいた改善策

etc…

Dashboardで

サービスのステータスをチェック！

• 24/365の日本語サポート※• Web/電話/チャット※• AWSサービスに関するスペシャリストが対応（Cloud Support Engineer)

※開発者プラン以上が技術的お問い合わせを利用可能です。

のやり取りを如何に効率的にするかが迅速解決のカギ！

AWSのステータス Service Health Dashboard

URL:http://status.aws.amazon.com/

サービスのステータスを以下のアイコンで表現

• 提供機能• サービス（Region）単位でステータス表示• RSSを利用して更新をチェックすることも可能• 過去の稼働情報も提供

• 注意点• 必ずしも更新はリアルタイムではない• 発生した障害の影響範囲によっては必ずしもス

テータスが更新されない

サポートお問い合わせのベストプラクティス

• 一つのお問い合わせで関連性のない複数の質問をしない

• 問い合わせ対象リソースの所有者が起票していることを確認する

• 適切な緊急度を設定いただく

• お問い合わせの際に可能な限り以下の内容を添付する

事象の発生時間（タイムゾーン）：事象が発生したリソースの詳細（リージョン/リソースID・名前）：発生した事象の詳細：

SDKやCLIのエラーであればそのエラー出力可能であれば、AWS CLIの場合は”--debug”オプションの指定ネットワーク疎通の問題であれば通信元と通信先のリソース情報

ご参考：調査で必要となる情報(1/2)サービス問題の種別必要な情報

CloudFormation S3が関連した問題 S3のエンドポイントURL、必要に応じスタック名デプロイ時の問題スタック名、使用したテンプレート、関連リソースID

テンプレート作成時の問題作成したテンプレートAPI、その他スタック名

CloudFront ディストリビューション関連お客さまがアクセスするURL,DistributionのURL、返答されるHTTPステータスコード、該当URLへのdig/nslookup 名前解決テスト結果、Origin へ直接アクセスした結果、traceroute/traceroute(TCP)

API、その他 DistributionのURLCloudWatch AutoScalingの問題 Auto Scaling Group名、Auto scaling Policy名、AS設定コマンド

Metrics取得に関する問題 Metrics取得対象リソース情報（インスタンスID,RDS/ELBエンドポイントなど）、Metrics取得時パラメーター、Metrics名、現象が発生した時刻

Alarmに関する問題対象となるAlarmの名前、現象が発生した時刻、SNS通知先

Direct Connect 接続に関する問題仮想インターフェースID（dxvif-xxx)、物理ラインID（dxcon-xxx で始まるID）、それぞれのリソースのカウント名

DynamoDB 性能の問題テーブル名、検証を実施した時刻、CloudWatchのRead/Write Capacityの出力

アクセスの問題テーブル名、エラーの出力詳細、アクセス方法（SDKの種類、呼び出し方）

EC2 & ELB 起動/停止の問題インスタンスID、OS側のエラーログインスタンス/ELB疎通問題インスタンスID, traceroute の出力、接続元、接続先のIPアドレス、監視システムのエラーログ

EBSに関連した問題インスタンスID, 問題があるストレージデバイス名（EBSのVolume ID、OS内のデバイス名など）

ELBに関連した問題インスタンスID、アクセス可能なURL、ELBのエンドポイントURL、traceroute の出力、curl (-v --trace-time) の出力（数回実施）、監視システムのエラーログ

性能に関連した問題インスタンスID、OS側のエラーログ、監視システムのエラーログ

AMI/に関連した問題 AMI名

ご参考：調査で必要となる情報(2/2)サービス問題の種別必要な情報

ElastiCache Cacheノード障害関連 ElastiCacheクラスタID、ノードID接続に関連する問題 ElastiCacheクラスタID、接続元インスタンスIDAPIエラー関連 ElastiCacheクラスタID、SDKバージョン

Elastic Beanstalk 全般アプリケーション名、Environment名Elastic MapReduce ジョブのエラー関連ジョブフローID

Hadoopクラスタ関連ジョブフローIDHive関連ジョブフローID、問題となっているクエリその他 APIなりコンソールのエラー内容

Glacier Volt名、アーカイブ名、ジョブIDIAM 全般アカウントID、IAMユーザー/グループ名

ポリシー関連アカウントID、IAMユーザー/グループ名、試したポリシーJSON

その他API関連エラーログと実行コマンド（セキュリティ注意）OpsWorks 全般再現可能なレシピ（セキュリティ注意）、エラーの内容、スタックの構成(なるべく詳細）、再現手順

RDS アクセス関連 DBインスタンスのエンドポイントFQDN、DBエラーコード、アクセス元

起動/停止関連 DBインスタンスのエンドポイントFQDNフェールオーバー DBインスタンスのエンドポイントFQDN

RedShift 全般 RedShiftのFQDN、エラーコード、アクセス元Route 53 HostedZoneID、どのリソースレコードセットか、異常時のdig/nslookup、期待している結果

S3 BucketID、Key名、リクエストID、Bucket ログ、APIエラー（HTTPエラーコード）、IAM絡む場合はIAMポリシー/IAMユーザー名

SES 特定のメールメッセージID、APIログSNS トピック名、通知のエンドポイントアドレスSQS 全般 Queue名Storage Gateway EC2 インスタンスID、クライアントインスタンスID、

オンプレオンプレ側のネットワーク構成情報、Proxy有無、DHCP使用有無、ボリューム構成

VPC インスタンス関連インスタンスIDVPNコネクション関連 VPNコネクションID、回線の詳細（種類、キャリア）、

http://docs.aws.amazon.com/AmazonVPC/latest/NetworkAdminGuide/Troubleshooting.html の実行結果

プログラムからサポートへアクセス AWS Support API

• AWS Support APIはサポートのお問い合わせに関する操作やAWSサポートが提供するツール（AWS Trusted Advisor）に対してAPIアクセスを提供

• AWS CLIや各種SDKから利用可能

• IAMによるアクセス制御もサポート

注)AWS Support APIを使用するためにはビジネスサポートプラン以上が必要です

AWS Support APIの活用例

サポート問い合わせの自動化や

問題管理ツールとの連携

サポート問い合わせのエクスポート

Trusted Advisorとの自動連携(後述)

より詳しいご利用方法はこちら！http://docs.aws.amazon.com/awssupport/latest/user/Case_Life_Cycle.htmlhttp://docs.aws.amazon.com/awssupport/latest/user/trustedadvisor.html

http://docs.aws.amazon.com/awssupport/latest/user/Case_Life_Cycle.html

http://docs.aws.amazon.com/awssupport/latest/user/trustedadvisor.html

AWSサポートをこんなことの確認にもご活用ください

• ドキュメントを見ながらいろいろ試してみたけど、詳しい仕様がどうなっているのか確認したい

• このサービスを使って実現したいことがあるのだけど、どう使うのがベストプラクティスなのだろう

AWSのご利用に関するベストプラクティス情報

• ユーザーの皆様による事例発表や、一般的なブログ/書籍

• AWSが発行するホワイトペーパーやWell-Architected Framework

• お問い合わせに対してサポートがご紹介するベストプラクティス

• AWS Trusted Advisor が提供する自動チェック

AWS Trusted Advisorがお客様によるセルフレビューをサポート

お客様のセルフレビューを支援 AWS Trusted Advisor

システムのセキュリティ設定は十分に強化されているだろうか？

そもそも、自分のシステムはAWSのベストプラクティスに適合しているだろうか？

どこかに無駄なコストがかかっていないだろうか？

・・・プロフェッショナルでも不安になることはある・・・

AWS Trusted Advisor が提供する機能

• お客様が使用しているAWSリソースのヘルスチェックダッシュボード

• ヘルスチェック結果の通知

• アクションリンク –通知に対する推奨アクションへのダイレクトパス

• IAMによるアクセス制御とAWSサポートAPIの提供

注)フル機能を使用するためにはビジネスサポートプラン以上が必要です。

AWS Trusted Advisorがチェックする項目

カテゴリヘルスチェックチェックする内容例

コスト最適化コスト最適化の可能性がある項目に対する推奨事項

使用率の低いEC2インスタンス利用頻度の低いEBSボリューム

など

セキュリティお客様のシステムのセキュリティ弱体化につながる恐れのある設定

セキュリティグループ(無制限アクセス）、MFA設定など

耐障害性お客様システムのアプリケーションの可用性や冗長性を高めるためのベストプラクティスからの推奨事項

RDSのマルチAZ構成、EBSスナップショット、ELBのクロスゾーン設定など

パフォーマンスの向上アプリケーションの拡張性や応答性の改善、過剰なキャパシティのチェックなどパフォーマンス最適化のための推奨事項

サービス制限、高負荷なEC2インスタンス、CloudFrontのキャッシュヒット率チェックなど

コスト削減セキュリティ耐障害性パフォーマンス

• 使用率の低いAmazon EC2 Instances• アイドル状態の Load Balancer• 利用頻度の低いAmazon EBSボリューム• 関連付けられていない Elastic IP Address• Amazon RDSアイドル状態のDBインスタンス• Amazon Route 53 レイテンシーリソースレコード

セット• EC2 リザーブドインスタンスの最適化• Amazon EC2 リザーブドインスタンスのリース有

効期限切れ• 使用率の低い Amazon Redshift クラスター

• セキュリティグループ-無制限アクセス※• IAM アクセスキーローテーション• セキュリティグループ -開かれたポート• IAM パスワードポリシー• ELB リスナーのセキュリティ• ELB セキュリティグループ• IAM の使用※• Amazon S3バケット許可• ルートアカウントのMFA※• Amazon RDS セキュリティグループのアクセスリス

ク• Amazon Route 53 MX リソースレコードセットと

Sender Policy Framework• AWS CloudTrail ロギング• IAM 証明書ストアの CloudFront独自 SSL 証

明書• オリジンサーバーの CloudFront SSL 証明書• 公開されたアクセスキー

• Amazon EBS スナップショット• Amazon EC2 アベイラビリティゾーンのバランス• Amazon RDS バックアップ• Load Balancerの最適化• VPNトンネルの冗長化• Amazon RDS Multi-AZ• Auto Scaling Group ヘルスチェック• Amazon S3 バケットロギング• Amazon Route 53 ネームサーバ権限委譲• Amazon Route 53 高 TTL リソースレコードセッ

ト• ELB クロスゾーン負荷分散• ELB Connection Draining• Amazon S3 バケットバージョニング• AWS Direct Connect 仮想インターフェイスの

冗長性• Auto Scaling グループリソース• Amazon Route 53 フェイルオーバーリソースレ

コードセット• Amazon Route 53 削除されたヘルスチェック• AWS Direct Connect 接続の冗長性• AWS Direct Connect ロケーションの冗長性• Amazon Aurora DB インスタンスアクセシビリ

ティ• EC2 Windows インスタンスの PV ドライバー

バージョン• EC2 Windows インスタンス用の EC2Config

サービス

• Amazon Route 53 エイリアスリソースレコードセット

• 使用率の高いAmazon EC2インスタンス• サービス制限※• Amazon EBS プロビジョンド IOPS ボリュームア

タッチ設定• EC2 セキュリティグループルールの増大• EC2 インスタンスセキュリティグループルールの増

大• 利用率が高すぎる Amazon EBS マグネティック

ボリューム• コンテンツ配信の最適化 (CloudFront)• CloudFrontヘッダー転送とキャッシュヒット率• Amazon EC2 から EBS スループット最適化• CloudFront代替ドメイン名

AWS Trusted Advisorがチェックする項目(詳細)

※赤字のものはすべてのお客様が利用可能です。これ以外のチェック項目をご利用いただくにはビジネスサポート以上のご契約が必要です。

チェック項目は50以上

沢山あるけどこれだけはチェック

• 使用率の低いAmazon EC2 Instances• CPUやN/Wトラフィックから判断

• このリストに出てくるインスタンスは全く使われていない可能性もあるため要注意

• バッチ用インスタンスなどの場合SPOTインスタンスなどを活用するとコスト最適化可能

• Amazon RDSアイドル状態のDBインスタンス• 検証用途などで大きなインスタンスサイズのままの場合はインスタンスサイズ再考

• とりあえずデータだけ残したい場合はスナップショット活用

• 利用頻度の低いAmazon EBSボリューム• インスタンスにアタッチされていないボリュームはスナップショット化するなどを検討

コスト削減


• セキュリティグループ設定• EIPを持つインスタンスに不要なポートをグローバルにオープンしているセキュリティグループを使用していないか

• Amazon S3バケット許可• 想定外のバケットがパブリックアクセスを許可してないか

• IAM の使用/ルートアカウントのMFA

• ルートアカウントの通常時使用は基本的に避けるべき

• 最低限ルートアカウントはMFAで保護

• AWS CloudTrailロギング• 普段使用しないリージョンも有効化されているか

セキュリティ


• Amazon S3 バケットロギング• S3バケット操作のログは問題解析で有用

• CloudTrailでもバケット操作をログ可能

• 各種冗長化• RDSのマルチAZ、ELBクロスゾーン分散、Direct

Connect冗長性チェック、VPNトンネルの冗長化

• Amazon EBS スナップショット• 何か取り忘れているものはないですか？

• 消えて困るものはこまめにスナップショットでバックアップが推奨

耐障害性


• サービス制限• AWS各サービスが持っているサービス制限値の現在の制限値と実際の利用状況

• 制限解除には最低でも2営業日

• Amazon EBS プロビジョンド IOPS ボリュームアタッチ設定

• EBS PIOPSボリュームの本領が発揮できてない可能性を指摘

• コンテンツ配信の最適化 (CloudFront)

• S3から直接配信するよりCloudFrontを介したほうがコスト的にもパフォーマンス的にもよい場合が

パフォーマンス

活用例）AWS Limit Monitor（AWS Answers）

https://aws.amazon.com/jp/answers/account-management/limit-monitor/

Trusted Advisorや各サービスが提供するAPIを使用してLimitの設定値と現在の消費状況を自動的に監視し、必要に応じて通知するソリューションをCloudFormationのテンプレートとして提供

システム品質向上のためのその他のAWSリソース

• AWS ホワイトペーパー• AWSの技術的なホワイトペーパー、AWS Well-Architected Frameworkやセキュリティ

ベストプラクティスなど多数収録

• https://aws.amazon.com/jp/whitepapers/

• AWS Answers• アマゾンウェブサービスクラウドにおけるアプリケーションのアーキテクチャ設計、構築、実

行に関するよくある質問に対する明確な回答

• https://aws.amazon.com/jp/answers/

• AWSサポートナリッジセンター• AWS をご利用のお客様からのよくあるご質問やご要望をご紹介

• https://aws.amazon.com/jp/premiumsupport/knowledge-center/

https://aws.amazon.com/jp/whitepapers/

https://aws.amazon.com/jp/answers/

https://aws.amazon.com/jp/premiumsupport/knowledge-center/

コスト管理を支援する様々なツール

AWS Biling Console 予算管理各種レポート

Trusted Advisor Cost Explorer

請求関連の統合コンソール AWS Billing Console

各種詳細へのリンク

請求関連アラート

実績と予測

サービス別今月の利用料

予算超過の通知も可能な予算管理機能

作成した予算に対して実績値との比較や過去の利用状況からの予測値との比較を表示

開始日/終了日、グルーピング方法、通知先などを指定し

て予算作成

AWSの利用状況把握をサポートする各種請求レポート

毎月のレポート - 請求書情報をExcelで管理可能

毎月のコスト配分レポート - タグごとの集計にも対応

AWS使用状況レポート – サービス毎の使用量の確認

請求明細レポートとAWSのコストと使用状況レポート

- 詳細なコスト分析を自分でやりたい場合

お手軽にコストの可視化を実現するCost Explorer例）2017年に入ってからのAWS利用料金をサービス別に月ごとで表示

例）同じ情報をDailyに表示

Cost Explorer でさくっと分析

どのサービスに一番お金がかかっているのか

サービスでグループ化


誰が一番そのサービスを使っているのか？

Linked Accountでグループ化

Service: RDSでフィルタリング


いったい何に使用している？

Linked Accountのフィルタを追加

Usage Typeでグルーピング


ところで、リザーブドインスタンスちゃんと使っている？

Usage Typeをフィルタに追加

Purchase Optionでグルーピング

Reserved Instance Utilization Report（EC2）

購入済みのリザーブドインスタンスがきちんと活用されているか？を確認できる

Reserved Instance Coverage Report（EC2）

リザーブドインスタンスを購入してコスト最適化する余地がどれほどあるか？を確認できる

AWS Organizationsの一括請求機能の活用

複数のAWSアカウントに対するご請求を一つのMasterアカウントにまとめて一括請求をする仕組み

AWS Organizations の一括請求機能の活用

ボリュームディスカウントは一括請求内のすべてのアカウントの利用料をもとにして適用される

AWS Organizations の一括請求機能の活用

• EC2/RDSのリザーブドインスンタスのディスカウントは一括請求アカウント全体でメリットが享受できるように適用される

一括請求ファミリー

アカウントA アカウントB

c4.2slargeのRI×3を購入済 c4.2slargeのRI×1を購入済

適用される条件や制約などは詳しくは以下のドキュメントを参照http://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_getting-started_from-consolidatedbilling.html

AWS Organizations 複数アカウントの一元管理

複数の AWS アカウントに適用するポリシーを集中管理

AWS アカウントの作成と管理の自動化

複数の AWS アカウントへの一括請求

AWS のサービスへのアクセス制御

すべての機能を有効化

一括請求のみを有効化

ご利用料金の最適化のため

• まずは各種レポートやCost Explorerを定期的にチェックしてコスト構造を可視化

• リザーブドインスタンスのようなディスカウントの仕組みを活用しつつ、有効活用されているかをチェック

• AWS Organizationでばらばらのアカウントをまとめて一括請求とすることでRIやボリュームディスカウントを最適化

本日のセッションのまとめ

Thank you!

本セッションのFeedbackをお願いします

受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入くださいアンケートをご提出いただきました方には、もれなく素敵なAWSオリジナルグッズをプレゼントさせていただきます

アンケートは受付、パミール3FのEXPO展示会場内にて回収させて頂きます

AWS サポートブースにて、ビジネスサポート

お試しキャンペーン実施中⇒詳細、お申込みはパミール3F AWS サポートブースへ

パミール3F

awsサポートと各種運用支援ツールを利用した システム運用・ … ·...

Documents

awsサポートと各種運用支援ツールを利用したシステム運用・ … ·...